Linux安全45

【高危】fastcdn用户数据库表存在明文,修改用户数据无鉴权限制即可增删改
本文主题:增删改用户数据缺乏身份验证机制导致未经授权访问,任意客户端可发起POST请求 问题描述: 在增删改用户数据接口发现了一个缺乏身份验证的漏洞,该接口允许未经身份验证的用户进行增删改用户 ...
fastcdn删除节点数据缺乏身份验证机制
本文主题: 删除节点数据缺乏身份验证机制导致未经授权访问,任意客户端可发起POST请求 问题描述: 在删除节点接口发现了一个缺乏身份验证的漏洞,该接口允许未经身份验证的用户进行删除节点,从而导 ...
fastcdn之SSH列表数据接口
本文主题: SSH列表数据接口缺乏身份验证机制导致未经授权访问,任意客户端可发起POST请求 问题描述: 发现了一个缺乏身份验证的漏洞,该接口允许未经身份验证的用户进行获取管理员添加的节点SS ...
fastcdn系统昨日上线发现两个未经身份验证接口
夏柔昨天简单测试了一下,发现可使用任意客户端发起post请求并成功存储到数据库的接口,属于中危漏洞; 第一个:注册接口 本文主题: 注册账号接口缺乏身份验证机制导致未经授权访问,任意客户端可发起P ...
宝塔关于宝塔新面板(真实性为止)
  用宝塔的朋友们注意了; 网上又有说有新的宝塔面板远程执行漏洞的,真实性未知(不确定是不是谣言,但前提做好安全准备), 目前建议在服务器控制台的安全组防火墙做限制将面板 以及ssh端口不 ...
情报手机号-社交媒体-地理位置开源情报
(一)不需要加好友的手段 对社交媒体帐号隐蔽的进行收集 确定大致位置 第一步是找到目标的社交媒体帐号,以qq,百度网盘,微信等为例 我们的目标不只是找到这三个平台的帐号,而是找到此人的社交媒体帐号常用 ...
精华防止SQL注入的五种方法
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体 ...
xss攻击入门
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶 ...
挖洞经验 | 从Self XSS到有趣的存储型XSS
我在Hackerone的一个程序中找到了这个XSS,关于这个存储型XSS的有趣之处在于它反映了我找到了从self XSS升级到存储型XSS的方式。此外,我不能透露出漏洞程序名称,因为他们要求不能泄露 ...
Linux文件描述符和IO重定向
一、文件描述符 在linux和unix系统中,一切都是文件,内核是通过文件描述符来访问文件,文件描述符是非负整数,最大值受系统最大可打开的文件数限制。可以使用命令查看: ulimit - ...